Horizon, road, long view

Les dirigeants de la sécurité mettent la lumière sur leurs voyages Zero Trust

Lucas Morel

La plupart des CISO reconnaissent que l’amélioration de la posture de sécurité Zero Trust apportera. Mais les changements culturels et technologiques constituent un chemin ardu qui prend un sens des affaires et un sens technique pour naviguer.

Zero Trust est devenu un belwether pour la gestion de l’accès dans l’industrie de la sécurité. Mais tandis que les chefs de la sécurité ont adopté l’approche – fondé sur la philosophie selon laquelle aucune personne ou entité informatique ne devrait être fiable à l’intérieur ou à l’extérieur du réseau de l’organisation – toutes les organisations n’ont pas terminé son parcours.

Selon une enquête Gartner, Gartner Gartner. Beaucoup d’entre eux (58%), cependant, ne font que commencer sur cette voie, avec moins de 50% de leurs environnements couverts par Zero Trust.

«La majorité des organisations ont une stratégie en place», explique John Watts, vice-président analyste et leader de l’initiative clé chez Gartner. Mais, note Watts, de nombreux leaders de la sécurité ne font que piloter les technologies habilitantes et construire l’architecture nécessaire lorsqu’ils travaillent pour surmonter les barrages routiers.

Pour vous aider à mieux comprendre les composants, les complexités et les défis qui accompagnent une telle entreprise, les chefs de sécurité partagent leurs expériences sur la route de zéro fiducie.

Amener l’entreprise à adopter le changement

Pour Mary Carmichael, le parcours zéro-frust est autant une question de changement de culture que d’évolution de l’infrastructure de sécurité d’une organisation.

Carmichael, qui a été embauché il y a deux ans en tant que consultant dans une agence de réglementation canadienne, a vu immédiatement la nécessité d’améliorer la posture de sécurité de l’agence, qui comprenait de nombreux travailleurs éloignés gérant des données sensibles, dont une grande partie a été fournie par les entités qu’elle réglemente.

L’agence, comme de nombreuses organisations, avait une infrastructure de sécurité qui, pour la plupart des entités de confiance – des personnes, des appareils et des applications – une fois qu’ils étaient dans l’environnement technologique, dit Carmichael.

«C’était: une fois que vous vous êtes connecté au réseau, vous avez confiance. Mais Zero Trust consiste à valider tout au long du chemin. C’est un grand changement», explique Carmichael, directeur de la stratégie, des risques et des conseils de conformité à la technologie de moment et un membre du groupe de travail émergent des Tendances professionnelles de l’association de gouvernance professionnelle ISACA.

L’agence avait une capacité d’identité et d’accès au niveau de base (IAM), mais ni l’authentification multi-facteurs (MFA) ni la gestion de l’accès privilégié (PAM) – deux technologies clés impliquées dans les architectures de confiance zéro. Il n’avait pas non plus les outils pour suivre le mouvement d’une entité dans l’environnement, il n’y avait donc aucun moyen de défier l’accès d’une entité à chaque système qu’il a essayé d’utiliser, dit Carmichael.

Et bien que l’agence à un moment donné ait créé des identités et les avait associées à des niveaux d’accès appropriés, il avait connu un «fluage d’accès, car il n’y avait pas de gouvernance et, lorsque les gens ont quitté l’organisation, il y avait un retard dans la sortie des gens du système de gestion de l’identité», explique Carmichael.

Mais pour commencer à s’attaquer à la posture de sécurité de l’agence, Carmichael a d’abord dû fournir aux parties prenantes une définition partagée de zéro fiducie et une raison persuasive d’investir dans le travail requis. Ce n’est qu’alors qu’elle pourrait éduquer l’agence sur les pièces technologiques nécessaires pour créer une confiance zéro, telle que la segmentation du réseau, le PAM et le MFA, et les changements de processus qui seraient nécessaires pour l’activer.

Nick Puetz, directeur général en charge de la pratique de la cyber-stratégie chez Consultancy Provititi, dit que le voyage de Carmichael reflète celui de la plupart des organisations, qui ont souvent diverses composantes de la confiance zéro en place avant d’adopter officiellement l’approche mais de ne pas fonctionner en concert. L’utilisation d’un framework Zero-Cust peut vous aider.

«C’est un moyen de rassembler toutes les parties mobiles», dit-il.

Alors que Carmichael a déplacé l’agence tout au long de son parcours zéro-fragté, son meilleur obstacle a été d’obtenir l’entreprise pour adopter le changement.

Avec Zero Trust, les chefs d’entreprise et les RH ont un travail important à faire autour de la création et de la gouvernance des identités et de l’établissement du niveau d’accès approprié pour chaque identité, dit Carmichael. Et ils doivent assumer la responsabilité d’obtenir ce travail correctement – et de le gouverner sur une base continue.

C’est un changement organisationnel, souligne-t-elle, c’est pourquoi la gestion du changement organisationnel et le parrainage de niveau supérieur sont essentiels pour un passage réussi à zéro confiance.

Se concentrer sur la «valeur à risque» – ce qui se passerait si les pirates accédaient aux données sensibles pour créer de l’urgence pour le changement – a contribué à stimuler le soutien à zéro confiance parmi ses parties prenantes de ses activités. Il en va de même pour l’éducation et la formation, ajoute Carmichael.

«Le déménagement à Zero Trust implique autant de groupes et de changements de processus différents et de personnes. Je ne pense pas que les gens soient conscients de l’étendue des changements nécessaires en ce qui concerne Zero Trust», dit-elle.

Équilibrer la convivialité avec la sécurité

Lorsque Niel Harper était CISO au bureau des Nations Unies pour les services de projet, il a fait face à une tâche intimidante: assurer la sécurité d’une organisation avec 8 000 utilisateurs répartis à travers le monde, dont beaucoup ont travaillé sur le terrain loin de ses bureaux à Copenhague, Genève et à New York.

En réponse, Harper a lancé l’organisation sur son parcours zéro-frust au cours de son mandat 2019-2022.

Comme Carmichael, Harper a commencé par examiner le réseau, les appareils, les applications, les charges de travail, les données et les identités de l’organisation pour comprendre où les contrôles granulaires pouvaient et devraient être placés. Il a également dû déterminer, en fonction des objectifs commerciaux et des actifs critiques, quelles composants techniques et des changements de processus seraient nécessaires pour passer de la confiance implicite à zéro.

«Définissons nos joyaux de la Couronne; ce sont généralement de 2% à 10% de vos données ou actifs. Identifiez-les et les classer – critique, grande valeur, confidentiel, strictement confidentiel. Cela vous donne une meilleure idée de ce que vous voulez protéger», dit-il. «Ensuite, regardez les investissements technologiques qui s’alignent le mieux avec les objectifs que vous avez définis pour obtenir un ensemble de biens prioritaires que vous souhaitez protéger.»

Harper a également pris du temps à l’avance pour identifier les victoires rapides et les zones où Zero Trust pourrait ne pas être réalisable – comme avec Legacy Tech.

Dans la mise en œuvre de sa stratégie, Harper a adopté une approche progressive.

«Je ne pense pas que Zero Trust soit bien adapté à un Big Bang; c’est trop perturbateur», dit-il, ajoutant qu’il avait convoqué des groupes d’utilisateurs au début du voyage.

«Une architecture zéro-frust introduit des frictions supplémentaires, car elle vérifie continuellement l’accès des gens, qui ils sont, leurs autorisations et que la friction peut être frustrant pour les utilisateurs», dit-il. « Nous avions donc des groupes de discussion et des équipes interfonctionnelles de l’entreprise avec la représentation des utilisateurs, afin que nous puissions expliquer nos objectifs et (les utilisateurs pourraient partager) leurs points d’alcool et leurs préoccupations, afin que nous ayons mis en œuvre des contrôles, nous pourrions toujours avoir une solide expérience utilisateur.

Pour aller de l’avant, l’équipe de Harper a d’abord mis en œuvre des contrôles dans les bureaux, en commençant par ces victoires rapides. Ceux-ci comprenaient la mise en œuvre du MFA et de la technologie pour appliquer l’accès conditionnel.

Harper a ensuite conçu une feuille de route qui aborderait des implémentations plus complexes qui pourraient se poursuivre après avoir quitté l’organisation.

Harper, qui est maintenant CISO et Global Data Proteficring Officer de la société de logiciels Doodle ainsi que vice-président du conseil d’administration d’Isaca, dit qu’il adopte une approche similaire car il fait avancer un modèle zéro-frust dans sa nouvelle entreprise.

«Les personnes, les processus et les systèmes se réunissent»

Un piratage en 2021 a mis Ohla USA et son CIO, Srivatsan Raghavan, sur le voyage zéro-frust. L’incident, explique Raghavan, a souligné le fait que les mesures de sécurité qui avaient été en place «collectivement réunies étaient inadéquates».

«Nous avons traversé plusieurs années où nous n’avions aucun incident, nous avons donc pensé que nous faisions quelque chose de bien. Je ne l’appellerais pas une confiance excessive, mais c’était un sentiment de validation», explique Raghavan.

La violation a contesté cette validation et a donné à l’entreprise «un tremplin pour faire mieux, car avec une confiance zéro, il y a une conviction que les outils (de sécurité) ne suffisent pas. Ce sont des personnes, des processus et des systèmes qui se réunissent»

Raghavan, qui supervise la sécurité, et son équipe a commencé par l’auto-examen: «Nous avons dû réfléchir à la façon dont nous opérons quotidiennement. Vous mettez tout cela sur la table, et vous y réfléchissez.»

Il dit que cela lui a montré la nécessité d’ajouter plus de contrôles – comme c’est généralement le cas pour une organisation car elle construit un environnement de sécurité à zéro – ainsi que la nécessité de décomposer les siloes.

«Nous avons dû détruire tous ces silos de l’organisation pour que cela devienne une meilleure équipe informatique et mieux comprendre l’ensemble de l’entreprise», dit-il.

Pour aider à cela, Raghavan a créé un cadre en combinant ceux de l’Institut national des normes et de la technologie (NIST) et Microsoft. Son cadre personnalisé permet à son équipe de se débarrasser des projets alors qu’ils avancent le voyage à zéro de l’entreprise. Et le cadre les aide à évaluer à quel point l’entreprise fait de l’identification, de la protection, de la détection, de la réponse et de la récupération des intrusions et des incidents potentiels dans des domaines spécifiques.

Puetz, le directeur général de Proviviti, affirme que de nombreuses organisations trouvent de la valeur dans Zero Trust pour des raisons similaires. «Zero Trust permet aux CISO de diviser leur stratégie en pièces de la taille d’une bouchée et d’expliquer où se trouve le programme de cybersécurité et où il doit aller», ajoute-t-il.

Raghavan a fait des progrès significatifs dans la maturation de son programme zéro-frust.

Par exemple, il a éliminé l’utilisation d’un réseau large (WAN) et l’a remplacé par des commandes basées sur le cloud, notamment un VPN toujours sur, une solution de gestion des appareils mobiles (MDM), des MFA et des capacités d’accès conditionnel.

Il a également abandonné des titres tels que le gestionnaire de serveurs et l’ingénieur réseau, disant: «Nous ne voulions plus ces seaux» et est passé au technologue senior et technologue junior décompose les silos.

«Nous ne voulions pas tracer des lignes autour des responsabilités. Nous voulons refléter l’interdépendance du travail», ajoute Raghavan, qui est devenu un pendant ce voyage.

Raghavan dit que la philosophie zéro-trust met son entreprise – une grande entreprise de construction qui épouse «Pense la sécurité. Toujours». – Sur une voie de sécurité plus sûre car elle adopte plus d’automatisation et d’intelligence artificielle.

«Zero Trust va faciliter la gestion de la sécurité et devenir plus granulaire avec les contrôles. Zero Trust consiste à le gérer aussi granulant que possible», ajoute-t-il. «C’est stratégiquement là où nous allons, en regardant tous les processus commerciaux pour rechercher des carences et des vulnérabilités, puis trouver des moyens de les renforcer en appliquant les principes de la confiance zéro à la façon dont nous exploitons notre entreprise.»

En savoir plus sur Zero Trust:

  • Qu’est-ce que Zero Trust? Le modèle de sécurité pour une époque distribuée et risquée
  • 7 principes de zéro confiance expliqués
  • 5 recommandations pratiques pour la mise en œuvre de zéro confiance
  • 6 Mythes et idées fausses de confiance zéro
  • 5 étapes vers la sécurité réelle de confiance zéro
  • 5 domaines où Zero Trust ne peut pas protéger votre organisation

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission